我想在Debian中打开磁盘加密选项,但我没有找到任何可以在系统安装后打开它的选项,因为我最初没有选择磁盘加密。我知道线索安装 Linux Mint 后有什么方法可以完全加密我的硬盘吗?其中指出,使用加密选项重新安装是最好的方法。然而,我在想这些是否是任何稳定的方法,然后在 Debian 中执行此操作。我有一些应用程序(Matlab、Mathematica...),我也应该重新安装,但我想避免这样做。
我不喜欢之后的分区加密,ecryptfs-migrate-home其缺点是最多占用 2.5 倍大的 HDD 空间(Dustin Kirkland 在线程中安装后是否可以加密 Home 驱动器而不需要 2.5 倍的空间?)。在这样的设置下,我的硬盘容量不够(170*2.5 > 250)。我从未在最初启用加密选项的情况下在 Debian 安装中遇到过这样的情况。这个事实让我认为重新安装是最好的选择,但是...
操作系统:Debian 8.7
硬盘:250 GB,现在为 170 GB
答案1
这很大程度上取决于您的磁盘分区方式,但如果您可以借用足够大的磁盘来执行迁移(至少≥170GB,理想情况下≥250GB,可能是外部磁盘),那么它应该是可行的。
如果您已经使用允许实时迁移的 LVM,事情就会容易得多。我还建议您使用单独的未加密/boot分区。 (看来grub2可以处理加密的/boot,但我自己没用过。)
以下是我建议的步骤:
- (假设您没有单独的
/boot分区/卷)使用实时系统缩小您的/分区/卷(或任何其他分区)并为新/boot分区/卷腾出足够的空间(使用resize2fs或等效工具);创建一个新的/boot分区/卷及其上的一些文件系统;将新分区安装到某个位置并将旧分区的内容移动/boot到新分区;更新您/etc/fstab以安装新分区/boot;实际上将新分区挂载到/boot;更新您的 ramdisk(使用update-initramfs)和 grub 配置(使用update-grub)。 - (假设您尚未使用 LVM)在第二个磁盘上,创建一个物理卷、一个卷组以及与
/boot第一个磁盘上的分区(除了 )一样多的逻辑卷;利用直播系统将第一盘各分区的内容复制到第二盘对应的逻辑卷中; (仍然使用您的实时系统)更新您/etc/fstab以安装新的逻辑卷而不是旧的分区; (仍然使用您的实时系统)更新 /boot/grub/grub.cfg 以告诉内核在哪里可以找到新分区。 - 将您的第一个磁盘重新分区,其中一个小分区用于 /boot,一个大分区用于加密。如果文件系统的 UUID 发生更改,您可能需要更新 grub 配置
/boot;如果您不确定,请使用 更新update-grub。 - 在新的专用分区上设置加密。
- 使新的加密卷成为 LVM 的物理卷,使其成为卷组的一部分,然后将逻辑卷移动到新的物理卷(使用
pvmove)。更新您的 initrd 并确保它支持加密。 - 从卷组中删除第二个磁盘上的物理卷。
- 享受!
请注意,这很复杂,有很多陷阱,可能有一些我忘记了。如果您想尝试一下,我建议您首先使用假系统(可能使用 qemu)进行尝试。